WebSSO entre Internet Information Server et JA-SIG Central Authentication Service , Page 3

WebSSO entre Internet Information Server et JA-SIG Central Authentication Service

Un module http pour déléguer l'authentification dans une application asp.net à un serveur d'authentification centralisé JA-SIG Central Authentication Service (CAS)

Par Jean-Marie Thia publié le 04/11/2007 à 23:08, lu 7807 fois, 4 pages

6 commentaire(s) tag(s)

Tags: Sharepoint, ASP.NET 2, Interopérabilité

3 | Module CAS

Téléchargez le code source - 19 Kb

Module CAS

J'avais étudié le problème pour permettre une authentification mixte intranet/extranet (l'objet de mon prochain post). Mais je devais me limiter uniquement à une authentification CAS pour un site Windows Sharepoint Services 3 (WSS). Et la meilleure façon d'insérer le code d'authentification pour toutes les requêtes du site est l'utilisation d'un module http. De plus un module http est simple à installer, il suffit de copier une dll et d'ajouter quelques lignes dans le fichier de configuration de l'application.

httpModule

Un module HTTP est une assembly qui s'insère dans le pipe-line de traitement d'une application asp.net. Il est appelé par toutes les requêtes en fonction des évènements auxquels le module s'est abonné. Le site MSDN donne toutes les informations utiles pour écrire son module.

Le code

Tout ce que nous avons à faire c'est prendre la main sur l'authentification et justement le pipe-line de traitement de l'application asp.net possède un évènement Application_AuthenticateRequest qui permet d'exécuter le code d'authentification que nous voulons. Pour les lecteurs qui veulent plus d'information sur les différentes méthodes d'authentification, ils peuvent lire les billets d'Améthyste ou le site msdn.

// Récupération du cookie d'authentification

string cookieName = FormsAuthentication.FormsCookieName;

HttpCookie authCookie = application.Request.Cookies[cookieName];

// Si cookie != null

if (authCookie != null)

{

// lecture du cookie d'authetification asp.net

FormsAuthenticationTicket authTicket = FormsAuthentication.Decrypt(authCookie.Value);

// Création d'un principal pour l'application

FormsIdentity identity = new FormsIdentity(authTicket);

GenericPrincipal principal = new GenericPrincipal(identity, null);

// liaison du principal à l'object de contexte de la requete.

application.Context.User = principal;

}

else

{

/**

* jouons avec cas

**/

// lecture du ticket dans la requête http

string casTicket = application.Request.QueryString["ticket"];

string service = application.Request.Url.GetLeftPart(UriPartial.Path);

// le ticket est vide : étape 2 du protocole, redirection vers le serveur CAS

if (casTicket == null || casTicket.Length == 0)

{

// mémorisation de la demande initiale dans un cookie

application.Response.Cookies[ReturnUrl].Value = application.Request.Path;

// redirection vers le serveur CAS

string redir = cashost + "login?" + "service=" + service;

application.Response.Redirect(redir);

return;

}

else

// Retour de l'authentification cas : étape 6 du protocole

{

// vérification du ticket auprès du serveur CAS

string validateurl = cashost + "serviceValidate?" + "ticket=" + casTicket + "&" + "service=" + service;

WebClient client = new WebClient();

StreamReader Reader = new StreamReader(client.OpenRead(validateurl));

// Put the validation response in a string

string resp = Reader.ReadToEnd();

string netid = null; // logon utilisé à récupérer dans la balise user de resp

reader.Close();

// En principe redirection vers la page demandé

if (netid == null)

{

application.Response.Write("Votre identité n'a pas été validé par le serveur CAS");

// TODO: Renvoi vers une erreur 500 ou autre le serveur CAS est HS ou usurpation

}

else

{

application.Response.Write("Bienvenue " + netid);

// Création du ticket d'authentification cas

FormsAuthenticationTicket formAuthTicket = new

FormsAuthenticationTicket(

1, // version

netid, // user name

DateTime.Now, // creation

DateTime.Now.AddMinutes(20), // expiration

false, // persistant

""); // userData

// encryptage du ticket

string encryptedTicket = FormsAuthentication.Encrypt(formAuthTicket);

// création du cookie d'authentification

authCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptedTicket);

// ajout du cookie dans le flux de réponse

application.Response.Cookies.Add(authCookie);

// redirection vers la page demandé

string returnUrl;

// Si jamais on perd l'url de retour, renvoie vers la racine du site

if (application.Request.Cookies[ReturnUrl] == null)

returnUrl = application.Request.ApplicationPath;

else

returnUrl = application.Request.Cookies[ReturnUrl].Value;

application.Response.Redirect(returnUrl);

}

Commentaires

Le code, simplifié pour l'article, est divisé en deux grandes parties. La première s'appuie sur les mécanismes d'authentification d'asp.net pour savoir si l'internaute est déjà authentifié. Si tel est le cas, on crée un objet d'authentification (principal) pour l'application.
La deuxième partie gère toute la partie authentification avec le serveur CAS et crée le cookie de session de l'application. Cela permet à l'application d'économiser les ressources du serveur CAS et les redirections du navigateur. Il est tout à fait possible de modifier la partie authentification CAS pour implémenter un autre serveur d'authentification.

Le code de la partie CAS vient en grande partie de la page asp.net form authentication du JA-SIG.

Installation

L'installation dans une application asp.net qui ne gère pas les niveaux d'autorisations est ultra simple. On met la dll du module dans répertoire bin de l'application et on ajoute la ligne suivante :

</httpModules>

dans la section <system.web> du fichier web.config et l'on ajoute ces lignes

</appSettings>

qui permettent de paramétrer le serveur CAS.

Dans le cas de sharepoint, c'est un peu plus complexe car il faut comme dans le cas précédent modifier le fichier web.config

</appSettings>

<system.web>

</httpModules>

</system.web>

mais aussi rechercher le fichier de sécurité utilisé à l'aide des balises suivantes

<trustLevel name="WSS_Medium" policyFile=

"C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\12\config\wss_mediumtrust.config" />

<trustLevel name="WSS_Minimal" policyFile=

"C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\12\config\wss_minimaltrust.config" />

</securityPolicy>

du fichier web.config. Il ne reste plus qu'à ajouter la sécurité de notre module

<CodeGroup

class="UnionCodeGroup"

version="1"

PermissionSetName="FullTrust">

<IMembershipCondition

class="UrlMembershipCondition"

version="1"

Url="$AppDirUrl$/bin/casModule.dll"

</CodeGroup>

» Démarrer une discussion

comment exclure une page de l'appli de l'authent avec le casModule Chargement ... Discussion démarée par mobs2000ontheweb le 21/11/2011 à 17:06, 2 commentaire(s).
Cas modul et SpharePoint 2010 Chargement ... Discussion démarée par yanis97 le 11/01/2012 à 17:41, 2 commentaire(s).
Help with SP integration Chargement ... Discussion démarée par nickhaddow le 03/09/2009 à 22:57, 1 commentaire(s).
Les mécanismes SSO Chargement ... Discussion démarée par lecstephane le 06/11/2007 à 03:15, 1 commentaire(s).

comment exclure une page de l'appli de l'authent avec le casModule

Discussion démarée par mobs2000ontheweb le 21/11/2011 à 17:06, 2 commentaire(s).